Tuula Seppo Lausunto 05.09.2018 518/03/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Linjauksissa on huomioitu yhdeksän linjauskohtaa. Kuntaliitto pitää kaikkia kohtia tärkeinä ja hyvinä linjauksina. Kohta 2 on hyvä ja tarpeellinen linjaus; on tärkeä sopia sopimuksissa mahdollisten ristiriitatilanteiden ehdot ja missä niitä käsitellään. Kuntaliitto toivoo täsmennystä kohtaan 6, missä linjataan, että viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista. Onko tarkoitus luoda keskitetty (esim. mahdollisesti viestintäviraston, väestörekisterikeskuksen ylläpitämä) lista vai ylläpidetäänkö listoja toimintaympäristö kohtaisesti (esim. viranomainen = kuntatoimija)? Lisäksi, miten tätä listaa tullaan päivittämään ja katselmoimaan ja miten riskienarviointi huomioidaan. Lista palveluntarjoajista tulisi olla osa riskienarviointia toimintaympäristö tasoisesti. Lisäksi kohtaan 7. Julkisen tiedon käsittelyä ei rajoiteta on syytä lisätä korostus siitä, että on huomioitava aina tietosuoja ja turvavaatimukset. Julkinenkin tieto sisältää henkilötietoja, miten henkilötietojen käyttöön liittyvät määräykset huomioidaan pilvipalveluita käytettäessä. Miten esimerkiksi sopimussuhteen päättyessä taataan se, että tiedot ovat siirrettävissä toiselle toimijalle tai organisaatiolle takaisin. Miten lisäksi varmistetaan se, että alkuperäinen pilvitarjoaja hävittää kyseiset tiedot. Riskienhallintaa on syytä korostaa tässäkin julkisen tiedon käsittelyä ei rajoitetalinjauksissa. Linjauskohdassa 8 on syytä korostaa riskienhallintaa. Taustaa linjauksille Kommentit taustaan: Linjausten tavoitteet Kommentit tavoitteisiin: Pilvipalveluiden edut sekä toteutus ja palvelumallit Lausuntopalvelu.fi 1/5
Kappaleessa pilvipalveluiden edut sekä toteutus ja palvelumallit on määritelty, mitä pilvipalveluilla tarkoitetaan. Kuntaliiton näkemykseen mukaan pilvipalveluilla tarkoitetaan tyypillisesti internetteknologia yhteyksien kautta käytettävää ICTkapasiteettia tai palvelua, jonka tuottamisessa hyödynnetään jaettujen, skaalautuvien ja joustavien resurssien mallia, joka on automatisoitu osin itsepalveluperiaatteella tuotettavaksi. Käsitteenä se kattaa kaikki palveluna hankittavat ICTpalvelut alkaen konesaleista aina ohjelmistoihin saakka. Pilviteknologian edut Vaikka palvelun tuottamiseen ja ylläpitämiseen sekä tietoturvaan liittyvä osaamistarve voi vähentyä, niin painopiste oman toimintaympäristön osaamisen kannalta siirtyy hallinnolliselle osaalueelle (esim. hankinta, seuranta, raportointi). Pilvipalveluiden joustavuus ei poista kokonaan käyttöönottoon liittyvää osaamistarvetta. Henkilöstöä tulee edelleen kouluttaa pilvipalveluissakin. Lisäksi vaikka palvelut saattavat olla helppoja ja nopeita käyttöönottaa niin samalla olisi syytä tiedostaa, että palveluiden käyttöönotto pilvipalveluympäristöissä vaatii omalta henkilökunnalta erilaista osaamista sekä kyvykkyyttä. Palvelut harvoin ovat toteutukseltaan erillisiä saarekkeita. Palvelumallit Kuntaliitto haluaa kiinnittää huomiota palvelumallien osalta osaamistarpeisiin. Harvoin organisaation osaamistarpeet kokonaan poistuvat. Eri palvelumalleissa tuskin koskaan on tilannetta, että kaikki palvelun tuottamiseen liittyvä osaamistarve poistuu. Tarve vähenee ja muuttuu, muttei toimintaympäristön kannalta poistu. Linjauksissa olisi hyvä korostaa riskienarviointia, mikä kohdistuu myös organisaation osaamistarpeisiin. Mitä riskejä organisaatiolle aiheutuu, mikäli organisaatiolta poistuu kokonaan tietynlaista osaamista? Toteutusmallit Tiedon ja palveluiden sijainti, hallinta ja ohjaus Linjausluonnoksen kappaleessa koskien tiedon ja palveluiden sijaintia, hallintaa ja ohjausta käsitellään mm. mitä haasteita näihin liittyy. Kuntaliitolla on tähän luettavuuden kannalta huomio. Tiedon ja palveluiden sijainnin ja hallinnan haasteiden yhteenveto on nähtävillä kuvioissa 2 ja 3. Kuviossa 2 on kuvattu tiedon sijainnan ja hallinnan riskit ja kuviossa 3 tiedon luottamuksellisuuden ja toiminnan jatkuvuuteen erityisesti poikkeusoloissa liittyvät riskit suhteessa palvelun tuottamiseen liittyvään malliin. Luettavuuden kannalta Kuva 3:n paikan voisi siirtää kappaleen loppuun (sivun lopun teksti tukee kuvaa kokonaisuutena), ja ei näin sotkeennu sisällöllisesti Kuva 2 :n kanssa. Lausuntopalvelu.fi 2/5
Tiedon käsittelyn vaatimukset Kuntaliitto pyytää kiinnittämään huomioita kappaleessa tiedon käsittelyn vaatimukset avattuihin käsitteisiin ja mahdollisesti tarkentaa niitä. Luonnoksessa on saatavuus termin alle yhdistetty niin saatavilla oleva (availability) kuin käytettävyys (usability). Niin tiedon kuin palvelunkin osalta nämä ovat tietoturvan kannalta eri käsitteitä. Lisäksi käyttövaltuushallinta käsittää käyttäjä ja pääsynhallinnan. Käyttövaltuushallinnan kannalta on syytä erottaa tunnistaminen (identification), todentaminen (authentication), valtuuttaminen (authorization) ja vastuullisuus (accountability). Kuntaliitto myös esittää kysymyksen siitä, tarvitseeko suojaustasoja luetella tässä linjauspaperissa. Huomioiden edessä olevan VAHTI100 työn, niin voisiko dokumentin päivittävyyden kannalta viitata olemassa oleviin määräyksiin luokittelun kannalta. Koskien turvallisuusluokitusmerkintöjä, niin voisiko lausunnossa avata suuntaa antavasti, miten turvallisuusluokitusmerkintöjä tarkastellaan toimintaympäristön kannalta ja miten mm. riskienarviointi suhteutuu turvallisuusluokitusmerkintöihin. Tiedon ja palveluiden hallinnassa olisi syytä korostaa vastuu näkökulmaa (liability); delegoida voi tekemistä, ei vastuuta. Palveluiden ohjaus Haasteet Kuntaliitto korostaa palveluiden ohjauksessa, että tulisi huomioida se, että palveluiden toteuttaminen eri ympäristöissä vaatii erilaista osaamista. Tällä on vaikutusta tarvittavan henkilökunnan osaamiselle ja kyvykkyydelle; riskit riippuvat palvelu ja toteutusmalleista. 1. Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICTpalvelun hankintaa tai muutosta Kuntaliitto pitää linjauksia 19 julkisen hallinnon tiedon sijainnista ja hallinnasta tarpeellisena. 2. Tiedon sijaitessa Suomen rajojen ulkopuolella erityistä on kiinnitettävä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen Hyvä ja erittäin tarpeellinen linjaus, erityisesti ristiriitatilanteiden hoitamiseen on kiinnitettävä huomiota. Lausuntopalvelu.fi 3/5
3. Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja takuuvaatimukset 4. Mikäli pilvipalvelut tarjoavat parhaan palveluhyödyn ja takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita 5. Pilvipalveluiden palveluhyötyä ja takuuta tulee arvioida säännöllisesti vähintään kerran vuodessa ja oleellisten sopimusehtojen muuttuessa. 6 Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista Kysymyksenä kohtaan 6 Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista Kuntaliitto toistaa alussa esitetyn kysymyksen siitä, kuka tai ketkä ovat tämä viranomaistaho. 7. Julkisen tiedon käsittelyä ei rajoiteta Lisäksi kohtaan 7. Julkisen tiedon käsittelyä ei rajoiteta on syytä lisätä korostus siitä, että on huomioitava aina tietosuoja ja turvavaatimukset. Julkinenkin tieto sisältää henkilötietoja, miten henkilötietojen käyttöön liittyvät määräykset huomioidaan pilvipalveluita käytettäessä. Miten esimerkiksi sopimussuhteen päättyessä taataan se, että tiedot ovat siirrettävissä toiselle toimijalle tai organisaatiolle takaisin. Miten lisäksi varmistetaan se, että tiedot alkuperäinen pilvitarjoaja hävittää kyseiset tiedot. Riskienhallintaa on syytä korostaa julkisen tiedon käsittelyä ei rajoitetalinjauksissa. 8. Henkilötietoa ja suojaustason IV tietoa voi käsitellä julkisessa pilvessä, kun tietoturva ja suoja on asianmukaisesti toteutettu ja todennettu Riskienhallintaa on syytä korostaa tässäkin linjauksessa. Lausuntopalvelu.fi 4/5
9. Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa Suosituksia toimenpiteiksi Linjausluonnos dokumentin lopussa käsitellään suosituksia toimenpiteiksi. Kuntaliitto esittää, että toimenpiteet valmisteltaisiin julkishallinnon yhteistyössä, ne olisivat konkreettisia sekä myös aikataulutettuja ja vastuutettuja. Pilvipalveluiden käyttö lisääntyy jatkuvasti ja olisi hyvä luoda yhteiset suositellut toimintamallit julkishallinnolle, ottaen huomioon myös tulevan maakuntauudistuksen. Pilvipalveluiden käytöllä saavutetaan paljon hyötyjä. Kuntaliitto pitää erityisen hyvänä asiana sitä, että valtion johdolla neuvotellaan yhteiset sopimus ja hinnoitteluehdot tärkeimpien palvelutarjoajien kanssa. Yhteisesti neuvotellen on mahdollista saavuttaa paremmat ehdot koko julkishallinnolle ja näin saavuttaa myös kustannustehokkuutta. Lisäksi yhteisesti neuvotellen on mahdollista saavuttaa ehdot, mitkä ottavat huomioon mm. henkilötietojen suojaan ja tietoturvaan sekä julkisuusperiaatteiseen liittyvät vaatimukset. Lopuksi Kuntaliitto korostaa, että pilvipalvelupohjaisten ratkaisujen huomioiminen tapahtuisi toiminnan kehittämisen kautta unohtamatta kokonaisuutta. Tarvitaan välineitä siihen, kuinka palvelutuotanto toteutetaan valitun strategian mukaisesti. Pääviesti tulee olla se, ettei pilvipalveluiden käyttöönotto ole irrallista toimintaa. Lausunnonantajan lausunto Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään Tuula Seppo Kuntaliitto tietoyhteiskuntayksikkö Lausuntopalvelu.fi 5/5